En mai 2014, la Cour de justice européenne a rendu un arrêt reconnaissant un "droit à l'oubli", ou du moins une conséquence concrète de celui-ci : selon cet arrêt, tout citoyen européen peut demander à ce que ses données à caractère personnel n'apparaissent plus dans les résultats de moteurs de recherche en ligne si celles-ci sont erronées ou ne sont plus pertinentes. Les principaux moteurs de recherche comme ceux de Google (Search) et de Microsoft (Bing) ont mis en ligne un formulaire pour introduire de telles "demandes d'oubli". Mais cela veut-t-il dire pour autant que l'on puisse à sa guise effacer toutes traces en ligne concernant sa personne? La réponse est non, même après l'arrêt de la Cour de justice européenne. Vous découvrirez ci-après ce que l'on entend précisément par "droit à l'oubli".
- Qu'est-ce au juste que le droit à l'oubli ?
- Quels sont les changements apportés par l'arrêt de la Cour de justice européenne ?
- Si je ne veux pas que mes données soient publiées sur un site Internet déterminé, dois-je m'adresser à Google/Bing pour supprimer ce site Internet des résultats de recherche ?
- Quelles exceptions au droit à l'oubli la Cour a-t-elle retenue?
- Comment introduire une demande de suppression de mes données auprès d'un site Internet ?
- Comment introduire une demande de suppression de mes données auprès de Google/Bing ?
- Que faire si l'on n'accède pas à ma demande de supprimer des données ?
Qu'est-ce au juste que le droit à l'oubli ?
Le droit à l'oubli existe déjà au Luxembourg depuis que la loi du 2 août 2002 a transposé la directive européenne de 1995 sur la protection des données. Celui-ci est décrit plus spécifiquement aux articles 28 paragraphe 4 et 30 de la loi, bien que l'expression "droit à l'oubli" ne figure pas littéralement dans le texte. Elle n'est utilisée que pour expliquer de manière intelligible ce dont il est question lorsque la personne demande l'effacement de données inexactes, obsolètes ou non pertinentes (art. 28 paragraphe 4) ou s'oppose à ce que des données exactes mais vieillies et ayant perdu d'intérêt qui montrent un aspect défavorable qui n'est plus d'actualité continuent à être divulguées en ligne.
Le droit à l'oubli signifie que vous pouvez demander à ce que vos données à caractère personnel ne soient plus traitées, donc par exemple qu'elles ne soient plus publiques sur un site Internet. Toutefois la loi ne permet votre démarche que "pour des raisons sérieuses et légitimes tenant à [votre] situation particulière". Cela implique tout d'abord que vous devez avoir une bonne raison pour demander la suppression de vos données. Autrement dit, "parce que vous n'aimez pas trop cela" ne sera pas une motivation suffisante. Vous devez pouvoir prouver que la publication de vos données contraire aux principes légaux de nécessité, de pertinence pour la finalité justifiant initialement son traitement et de légitimité ou bien si tel n'est pas le cas que sa divulgation à large échelle à l'heure actuelle sur Internet vous est réellement dommageable. Ensuite, il doit s'agir également d'un cas spécifique ("situation particulière"). Vous ne pouvez donc pas, par une seule demande adressée à Google, faire disparaître d'un coup tout ce qui a été publié en ligne à votre sujet ou tout ce que vous avez publié vous-même.
Si le droit à l'oubli existe déjà depuis 2002, vous vous demandez peut-être pourquoi un arrêt de la Cour de justice européenne était encore nécessaire. L'arrêt se réfère à un situation particulière et a principalement répondu à deux questions relatives aux moteurs de recherche:
- Un moteur de recherche traite-t-il des données à caractère personnel comme le fait un gestionnaire de site Internet ?
- La loi sur la protection des données s'applique-t-elle à des moteurs de recherche opérés par des sociétés internationales ?
En réponse à la première question, la Cour affirme qu'un moteur de recherche rend des données accessibles à tous, alors qu'autrement, ces données ne seraient pas disponibles ou seulement de manière très limitée. La Cour estime dès lors qu'un moteur de recherche traite des données et est responsable de ce traitement. Google a réagi en argumentant qu'il était une entreprise américaine et que la législation européenne ne lui était dès lors pas applicable. La Cour annihile toutefois ce raisonnement en établissant que Google dispose de filiales commerciales sur le territoire européen, auxquelles est donc applicable la directive européenne relative à la vie privée.
Si je ne veux pas que mes données soient publiées sur un site Internet déterminé, dois-je m'adresser à Google pour supprimer ce site Internet des résultats de recherche ?
S'il s'agit d'un seul site Internet en particulier, vous devez prendre contact en premier lieu avec le gestionnaire de ce site pour faire supprimer vos données. Si le gestionnaire du site Internet refuse de le faire, vous pouvez éventuellement vous adresser à Google. Si votre nom est mentionné sur de nombreux sites Internet différents et qu'il est pratiquement impossible d'écrire à chaque gestionnaire de site distinct, vous pouvez introduire la demande directement auprès de Google. Toutefois, lorsque vous adressez une demande à Google, vos données à caractère personnel continuent à apparaître sur ce(s) site(s) Internet. Google ne fera que fermer le chemin qui y mène.
Attention : dans tous les cas, la loi vous impose de suivre une procédure spécifique pour demander la suppression de vos données, faute de quoi votre demande ne sera pas valable. Vous trouverez ci-dessous la description de cette procédure. Si vous n'approuvez pas le refus de votre demande, vous pouvez soit contacter la CNPD soit vous adresser au tribunal (voir ci-dessous la rubrique "Que faire si l'on n'accède pas à ma demande de supprimer des données ?").
Quels exceptions au droit à l'oubli la Cour a-t-elle retenue?
Vous devez introduire votre demande par écrit. Veillez à dater et signer votre demande. Joignez-y également une preuve de votre identité, par exemple une copie de votre carte d'identité. Le gestionnaire du site Internet est ainsi certain de votre identité et l'on évite qu'un tiers demande la suppression de vos données en votre nom. Indiquez clairement les raisons sérieuses que vous invoquez pour faire supprimer vos données.
Une fois votre demande introduite, le gestionnaire du site Internet a un mois pour vous répondre. Si le gestionnaire refuse, vous pouvez également attendre de lui qu'il motive ce refus. Lors de l'examen de votre demande, le gestionnaire du site Internet doit trouver un équilibre entre votre intérêt de protéger votre vie privée et l'intérêt de la société d'être informée.
Google a mis en ligne un formulaire spécifique pour introduire votre demande. Le moteur de recherche Bing a également mis en ligne un formulaire.
Une fois votre demande introduite, Google/Bing a un mois pour vous répondre. S'il refuse, vous pouvez également attendre de lui qu'il motive ce refus. En examinant votre demande, Google/Bing doit trouver un équilibre entre votre intérêt en tant que personne concernée de protéger votre vie privée et l'intérêt de la société d'être informée.
Si vous êtes convaincu(e) d'avoir donné une bonne raison de faire supprimer vos données mais que votre demande a été refusée, vous pouvez contacter la CNPD et/ou vous adresser au tribunal. Important : dans tous les cas, vous devez d'abord demander vous-même la suppression de vos données et respecter à cet effet la procédure de la loi sur la protection des données (voir ci-dessus la rubrique "Comment introduire une demande de suppression de mes données auprès d'un site Internet ?") avant que la CNPD ou le tribunal puissent intervenir.
Jusqu'à présent, la compétence de la CNPD se limite à intervenir en tant que médiateur. Elle peut donc uniquement évaluer si, à son avis, le refus est fondé. Dans la négative, elle peut faire pression sur le gestionnaire du site Internet en question pour faire quand même supprimer vos données, sans pour autant pouvoir l'imposer. Pour cela, vous devez vous adresser au tribunal. Vous pouvez également choisir de ne pas solliciter la CNPD et vous adresser directement au tribunal, mais de nouveau, uniquement si vous avez déjà adressé vous-même une demande valable de suppression de vos données au gestionnaire du site Internet.